BSI Audit

3.433 Aufrufe

Veröffentlicht am

Veröffentlicht in: Technologie
0 Kommentare
1 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
3.433
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
5
Aktionen
Geteilt
0
Downloads
51
Kommentare
0
Gefällt mir
1
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

BSI Audit

  1. 1. Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Prüfschema für ISO 27001-Audits
  2. 2. Prüfschema für ISO 27001-Audits Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 228 99 9582-111 E-Mail: zertifizierung@bsi.bund.de Internet: http://www.bsi.bund.de © Bundesamt für Sicherheit in der Informationstechnik 2008 Bundesamt für Sicherheit in der Informationstechnik
  3. 3. Prüfschema für ISO 27001-Audits Inhaltsverzeichnis VORWORT ........................................................................................................................................................... 6 1. EINLEITUNG .............................................................................................................................................. 7 1.1 VERSIONSHISTORIE................................................................................................................................. 7 1.2 ZIELSETZUNG ......................................................................................................................................... 7 1.3 ADRESSATENKREIS................................................................................................................................. 7 1.4 ANWENDUNGSWEISE .............................................................................................................................. 7 1.5 BEGRIFFE UND DEFINITIONEN ................................................................................................................ 8 1.6 LITERATURVERZEICHNIS ........................................................................................................................ 9 2. AUDITPRINZIPIEN.................................................................................................................................. 10 3. ABLAUF DES AUDITPROZESSES ........................................................................................................ 11 3.1 ÜBERBLICK ÜBER DEN AUDITPROZESS ................................................................................................. 11 3.2 ZIELSETZUNG UND UMFANG DES AUDITS............................................................................................. 11 3.3 ROLLEN UND ZUSTÄNDIGKEITEN IM AUDITPROZESS ............................................................................ 11 3.4 GEFORDERTE REFERENZDOKUMENTE .................................................................................................. 12 3.5 ZERTIFIZIERUNGSANTRAG BEIM BSI .................................................................................................... 15 3.6 DURCHFÜHRUNG VON AUDITS ............................................................................................................. 16 3.6.1 Audittypen........................................................................................................................................ 16 3.6.2 Auditphasen..................................................................................................................................... 18 3.6.3 Auswahl der Auditoren .................................................................................................................... 19 3.6.4 Wahl von Stichproben für das Audit................................................................................................ 20 3.6.5 Prüfbegleitung und Auditbegleitung................................................................................................ 20 3.7 ERSTELLUNG DES AUDITBERICHTES ..................................................................................................... 21 3.8 ERSTZERTIFIZIERUNG ........................................................................................................................... 22 3.9 RE-ZERTIFIZIERUNG ............................................................................................................................. 22 3.10 AUSSETZUNG UND ZURÜCKZIEHUNG VON ZERTIFIKATEN .................................................................... 23 3.10.1 Aussetzung von Zertifikaten ........................................................................................................ 23 3.10.2 Zurückziehung von Zertifikaten................................................................................................... 23 4. PHASE 1 DES ZERTIFIZIERUNGSAUDITS: SICHTUNG DER REFERENZDOKUMENTE ...... 25 4.1 ÜBERBLICK ÜBER DIE AUDITAKTIVITÄTEN........................................................................................... 25 4.2 VORAUDIT ............................................................................................................................................ 25 4.3 AKTUALITÄT DER DOKUMENTE............................................................................................................ 25 4.3.1 Aktualität der Version der Prüfgrundlagen..................................................................................... 25 4.3.2 Aktualität der Referenzdokumente................................................................................................... 26 4.3.3 Datum des Basis-Sicherheitschecks................................................................................................. 26 4.4 IT-SICHERHEITSRICHTLINIEN ............................................................................................................... 26 4.4.1 Vollständigkeit der IT-Sicherheitsrichtlinien .................................................................................. 26 4.4.2 Verantwortung des Managements ................................................................................................... 26 4.4.3 Nachvollziehbarkeit der Informationssicherheitsrichtlinien ........................................................... 26 4.5 IT-STRUKTURANALYSE ........................................................................................................................ 27 4.5.1 Nachvollziehbarkeit der Abgrenzung des Untersuchungsgegenstandes.......................................... 27 4.5.2 Identifizierbarkeit der Komponenten im bereinigten Netzplan........................................................ 27 4.5.3 Umfang der Liste der IT-Systeme .................................................................................................... 27 4.5.4 Konformität der Liste der IT-Systeme mit dem Netzplan................................................................. 28 4.5.5 Umfang der Liste der IT-Anwendungen .......................................................................................... 28 4.6 SCHUTZBEDARFSFESTSTELLUNG .......................................................................................................... 28 4.6.1 Plausibilität der Definition der Schutzbedarfskategorien ............................................................... 28 4.6.2 Vollständigkeit der Schutzbedarfsfeststellung der IT-Anwendungen .............................................. 28 4.6.3 Vollständigkeit der Schutzbedarfsfeststellung der IT-Systeme ........................................................ 29 4.6.4 Plausibilität der Schutzbedarfsfeststellung der IT- Systeme............................................................ 29 4.6.5 Kritikalität der Kommunikationsverbindungen ............................................................................... 29 4.6.6 Plausibilität der Schutzbedarfsfeststellung der Räume ................................................................... 30 4.7 MODELLIERUNG DES IT-VERBUNDS ..................................................................................................... 30 4.7.1 Nachvollziehbarkeit der Modellierung............................................................................................ 30 Bundesamt für Sicherheit in der Informationstechnik 3
  4. 4. Prüfschema für ISO 27001-Audits 4.7.2 Korrektheit der Gruppenbildung ..................................................................................................... 31 4.8 ERGEBNIS DES BASIS-SICHERHEITSCHECKS ......................................................................................... 31 4.8.1 Konformität zur Modellierung......................................................................................................... 31 4.8.2 Transparenz der Interviewpartner................................................................................................... 31 4.8.3 Umsetzungsgrad der IT-Grundschutz-Maßnahmen......................................................................... 32 4.9 ERGÄNZENDE SICHERHEITSANALYSE UND ERGÄNZENDE RISIKOANALYSE .......................................... 33 4.9.1 Vollständigkeit und Plausibilität der ergänzenden Sicherheitsanalyse........................................... 33 4.9.2 Vollständigkeit und Plausibilität der ergänzenden Risikoanalyse................................................... 33 4.9.3 Umsetzungsgrad aller Maßnahmen................................................................................................. 34 5. ZERTIFIZIERUNGSAUDIT: VORBEREITUNG DER AUDITTÄTIGKEIT VOR ORT................ 35 5.1 ENTSCHEIDUNG ZUR WEITERFÜHRUNG DES AUDITS MIT PHASE 2........................................................ 35 5.2 ERSTELLUNG EINES PRÜFPLANS ........................................................................................................... 35 5.3 VORBEREITUNG DER ARBEITSDOKUMENTE .......................................................................................... 35 5.4 AUSWAHL DER PRÜFBAUSTEINE........................................................................................................... 36 5.4.1 Informationssicherheitsmanagement............................................................................................... 36 5.4.2 Zufällig ausgewählte Bausteine....................................................................................................... 36 5.4.3 Gezielt ausgewählte Bausteine ........................................................................................................ 37 5.4.4 Stichproben aus der ergänzenden Sicherheits- bzw. Risikoanalyse ................................................ 37 6. PHASE 2 DES ZERTIFIZIERUNGSAUDITS: INSPEKTION VOR ORT ......................................... 38 6.1 ÜBERBLICK ÜBER DIE AUDITAKTIVITÄTEN VOR ORT ........................................................................... 38 6.2 WIRKSAMKEIT DES MANAGEMENTSYSTEMS FÜR INFORMATIONSSICHERHEIT...................................... 38 6.3 VERIFIKATION DES NETZPLANS............................................................................................................ 38 6.3.1 Übereinstimmung des Netzplans mit der Realität............................................................................ 38 6.3.2 Übereinstimmung der Realität mit dem Netzplan............................................................................ 39 6.4 VERIFIKATION DER LISTE DER IT-SYSTEME ......................................................................................... 39 6.5 VERIFIKATION DES BASIS-SICHERHEITSCHECKS .................................................................................. 39 6.6 VERIFIKATION DER UMSETZUNG DER ZUSÄTZLICHEN MAßNAHMEN AUS DER ERGÄNZENDEN RISIKOANALYSE ................................................................................................................................................ 40 7. NACHBESSERUNGEN UND NACHFORDERUNGEN ....................................................................... 42 7.1 NACHBESSERUNGEN............................................................................................................................. 42 7.2 NACHFORDERUNGEN ............................................................................................................................ 43 8. GESAMTVOTUM FÜR DIE ERTEILUNG EINES ZERTIFIKATS .................................................. 44 9. ÜBERWACHUNGSAUDIT ...................................................................................................................... 45 9.1 PLANUNG DER ÜBERWACHUNGSAUDITS............................................................................................... 45 9.2 PHASE 1 DES ÜBERWACHUNGSAUDITS: SICHTUNG DER REFERENZDOKUMENTE .................................. 45 9.3 VORBEREITUNG DER AUDITAKTIVITÄT VOR ORT ................................................................................. 46 9.4 PHASE 2 DES ÜBERWACHUNGSAUDITS: INSPEKTION VOR ORT ............................................................. 46 9.4.1 Prüfung des Managementsystems für Informationssicherheit......................................................... 47 9.4.2 Prüfung von Änderungen am IT-Verbund ....................................................................................... 47 9.4.3 Prüfung der zwischenzeitlichen Behebung von Abweichungen ....................................................... 48 9.4.4 Prüfung der Einhaltung von Auflagen............................................................................................. 48 9.5 GESAMTVOTUM FÜR DIE AUFRECHTERHALTUNG DES ZERTIFIKATS ..................................................... 49 10. AUDITIERUNG IM RAHMEN EINER RE-ZERTIFIZIERUNG ................................................... 50 11. PRAKTISCHE HILFEN ....................................................................................................................... 51 11.1 AUDITBERICHT ..................................................................................................................................... 51 11.2 FORMALE ASPEKTE DES AUDITBERICHTS............................................................................................. 51 11.2.1 Allgemeines ................................................................................................................................. 51 11.2.2 Vorgehensweise........................................................................................................................... 52 12. AUDITORTESTAT ............................................................................................................................... 53 12.1 ABGABE DES AUDITORTESTATS ........................................................................................................... 53 12.2 VERLÄNGERUNG EINES AUDITORTESTATS ........................................................................................... 53 4 Bundesamt für Sicherheit in der Informationstechnik
  5. 5. Prüfschema für ISO 27001-Audits 13. ANHANG................................................................................................................................................ 54 13.1 ANTRÄGE ............................................................................................................................................. 54 13.2 UNABHÄNGIGKEITSERKLÄRUNG DER AUDITOREN ............................................................................... 54 13.3 GLIEDERUNG DES AUDITBERICHTS EINES ZERTIFIZIERUNGSAUDITS..................................................... 54 13.4 GLIEDERUNG DES AUDITBERICHTS EINES ÜBERWACHUNGSAUDITS ..................................................... 57 Bundesamt für Sicherheit in der Informationstechnik 5
  6. 6. Prüfschema für ISO 27001-Audits Vorwort ISO 27001-Zertifizierungen auf der Basis von IT-Grundschutz geben Behörden und Unternehmen die Möglichkeit, ihre Bemühungen um Informationssicherheit und die erfolgreiche Umsetzung internationaler Normen unter Anwendung der IT-Grundschutz-Methodik nach innen und außen zu dokumentieren. Rechtliche Grundlagen des Verfahrens sind das Errichtungsgesetz des Bundesamts für Sicherheit in der Informationstechnik sowie entsprechende Erlasse des Bundesministeriums des Innern vom 06. Februar 2001 und vom 22. Dezember 2005 zum Zertifizierungsschema im Bereich IT- Grundschutz. Grundlage dieses Dokumentes sind die Normen DIN EN ISO 19011 quot;Leitfaden für Audits von Qualitätsmanagement- und/oder Umweltmanagementsystemenquot;, ISO/IEC 27006:2007 „Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems“ sowie DIN EN ISO/IEC 17021:2006 quot;Konformitätsbewertung - Anforderungen an Stellen, die Managementsysteme auditieren und zertifizierenquot;, welche Anleitungen und Anforderungen für den Ablauf und die Durchführung von Audits enthalten. Kriterienwerke des Verfahrens sind ISO/IEC 27001:2005 quot;Information technology - Security techniques - Information security management systems – Requirementsquot;, der BSI-Standard 100-2 „IT-Grundschutz-Vorgehensweise“, BSI-Standard 100-3 „Ergänzende Risikoanalyse auf Basis von IT-Grundschutz“ sowie die IT-Grundschutz-Kataloge des BSI. 6 Bundesamt für Sicherheit in der Informationstechnik
  7. 7. Prüfschema für ISO 27001-Audits 1. Einleitung 1.1 Versionshistorie Datum Version Verfasser Bemerkungen 01.01.2006 1.0 BSI 01.02.2006 1.1 BSI Änderungen in Kapitel 3.5 14.01.2008 2.0 BSI Überarbeitung unter Berücksichtigung der ISO 27006, Version zur Kommentierung durch Auditoren 03.03.2008 2.1 BSI Berücksichtigung der Kommentare der Auditoren 1.2 Zielsetzung Das vorliegende Prüfschema für ISO 27001-Audits auf der Basis von IT-Grundschutz beschreibt die verbindliche Vorgehensweise, wie Auditoren die für die Erlangung eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz oder eines Auditortestates (Einstiegsstufe oder Aufbaustufe) erforderlichen Prüfungen durchführen müssen. Das Prüfschema dient gleichzeitig als Checkliste und Hilfsmittel für die Prüfung der IT-Grundschutz-Methodik. Zusätzlich zu den vorliegenden Vorgaben sind ergänzende Verfahrensanweisungen zu beachten und anzuwenden, die unter http://www.bsi.bund.de/gshb/zert/ISO27001/schema.htm veröffentlicht sind. In ergänzenden Verfahrensanweisungen werden unter anderem Grundsatzentscheidungen des BSI veröffentlicht. 1.3 Adressatenkreis Dieses Dokument richtet sich vor allem an Auditteamleiter, die ein unabhängiges Audit durchführen, um die Konformität eines Managementsystems für Informationssicherheit gemäß ISO 27001 auf der Basis von IT-Grundschutz in einer Institution zu bestätigen. Auch IT-Sicherheitsverantwortliche können sich einen Überblick darüber verschaffen, welche Prüfanforderungen bei einem Audit gestellt werden und welche Referenzdokumente zur Verfügung gestellt werden müssen (siehe Kapitel 3.4 „Geforderte Referenzdokumente“). 1.4 Anwendungsweise Im folgenden Dokument werden die Voraussetzungen und die Vorgehensweise für eine ISO 27001- Zertifizierung auf der Basis von IT-Grundschutz beschrieben. Nach allgemeinen Anforderungen an ein Audit in Kapitel 2 gibt Kapitel 3 einen Überblick über den Auditprozess. Anschließend werden die Phasen der Durchführung des Audits beschrieben. Bundesamt für Sicherheit in der Informationstechnik 7
  8. 8. Prüfschema für ISO 27001-Audits Abbildung 1: Auditprozess Auf der Grundlage einer Dokumentenprüfung (Kapitel 4) bereitet sich der Auditor auf die Vor-Ort- Prüfung (Kapitel 5) vor, ehe er die konkrete Umsetzung der geforderten Anforderungen überprüft (Kapitel 6). Stellt der Auditor hier Defizite fest, muss die Institution Nachbesserungen durchführen (Kapitel 7). Es sind maximal 2 Nachbesserungen vorgesehen, bis der Auditor das Gesamtvotum (Kapitel 8) abgibt. Ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz ist 3 Jahre gültig, nach denen die Institution eine Re-Zertifizierung (Kapitel 10) veranlassen muss, um die kontinuierliche Umsetzung der Anforderungen weiterhin nachweisen zu können. Während dieser 3 Jahre wird jährlich ein Überwachungsaudit (Kapitel 9) durchgeführt, das zeigen soll, dass das Informationssicherheits- managementsystem aktiv ist und weiterentwickelt wird. Um dem Auditor zusätzliche Hilfsmittel bei der Anwendung des Prüfschemas zu geben und somit die Gleichwertigkeit des Verfahrens besser zu gewährleisten, werden in Kapitel 11 praktische Hilfen gegeben. Für die Durchführung eines Auditortestates (Einstiegstufe bzw. Aufbaustufe) muss das Prüfschema ebenfalls angewendet werden. In Kapitel 12 wird explizit auf dieses Verfahren eingegangen. Um dieses Dokument übersichtlicher zu gestalten, wird an allen Stellen der Begriff Zertifikat verwendet, auch wenn sich das Verfahren auf beide Vorgehensweisen bezieht. 1.5 Begriffe und Definitionen In diesem Dokument wird der Begriff IT-Verbund benutzt. Er stellt nicht nur den Verbund der betrachteten IT-Systeme dar, sondern umfasst auch das damit verbundene Informationssicherheits- Managementsystem. Der IT-Verbund ist der Geltungsbereich der Zertifizierung (Untersuchungsgegenstand). Audits können von einem oder mehreren Auditoren durchgeführt werden, die vom Bundesamt für Sicherheit in der Informationstechnik lizenziert sind. Der für die Durchführung eines Audits verantwortliche Auditor wird in diesem Dokument Auditteamleiter genannt. Zu einem Auditteam können auch Fachexperten (Erfüllungsgehilfen) angehören, die entweder spezielle 8 Bundesamt für Sicherheit in der Informationstechnik
  9. 9. Prüfschema für ISO 27001-Audits Branchenkenntnisse oder solide Kenntnisse und Erfahrungen hinsichtlich der im IT-Verbund eingesetzten Informations- und Kommunikationstechnik besitzen. 1.6 Literaturverzeichnis [GSV] IT-Grundschutz-Vorgehensweise, BSI-Standard 100-2, http://www.bsi.bund.de/ [GSHB] IT-Grundschutzkataloge - Standard-Sicherheitsmaßnahmen, BSI, jährlich neu, http://www.bsi.bund.de/gshb [SHB] IT-Sicherheitshandbuch - Handbuch für die sichere Anwendung der Informationstechnik, BSI, Version 1.0 - März 1992, Bundesdruckerei [ZERT] Informationen zum Zertifizierungsschema für ISO 27001 auf der Basis von IT- Grundschutz und zum Lizenzierungsschema für Auditoren für ISO 27001-Zertifikate auf der Basis von IT-Grundschutz unter http://www.bsi.bund.de/gshb/zert DIN EN ISO/IEC 17021:2006 quot;Konformitätsbewertung - Anforderungen an Stellen, [17021] die Managementsysteme auditieren und zertifizierenquot; DIN EN ISO 19011 „Leitfaden für Audits von Qualitätsmanagement- und/oder [19011] Umweltmanagementsystemen“ DIN EN ISO/IEC 27001:2005 „Information technology - Security techniques - [27001] Information security management systems - Requirementsquot; ISO/IEC 27002:2005 quot;Information technology - Security techniques - Code of [27002] practice for information security managementquot; [27006] ISO/IEC 27006:2007 „Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems“ Bundesamt für Sicherheit in der Informationstechnik 9
  10. 10. Prüfschema für ISO 27001-Audits 2. Auditprinzipien Die Auditprinzipien fassen die grundlegenden Punkte des Auditprozesses zusammen. Ihre Einhaltung ist für den erfolgreichen Verlauf eines Zertifizierungsverfahrens erforderlich. Die Auditierung stützt sich auf eine Reihe von Prinzipien. Diese machen das Audit zu einem wirksamen und zuverlässigen Werkzeug. Die Einhaltung der Auditprinzipien ist eine Voraussetzung für nachvollziehbare, wiederholbare und vergleichbare Auditergebnisse, um eine nachfolgende Zertifizierung zu ermöglichen. Die folgenden Prinzipien müssen erfüllt werden: • Ethisches Verhalten: Da im Umfeld Informationssicherheit oft sensible Geschäftsprozesse und Daten zu finden sind, sind die Vertraulichkeit der Informationen und der diskrete Umgang mit den Ergebnissen des Audits eine wichtige Arbeitsgrundlage. Sowohl das BSI als auch die auditierte Organisation müssen dem Auditor und seinem Vorgehen vertrauen können. • Sachliche Darstellung: Ein Auditor hat die Pflicht, sowohl seinem Auftraggeber als auch der Zertifizierungsstelle wahrheitsgemäß und genau über die Untersuchungsergebnisse zu berichten. Dazu gehört die wahrheitsgemäße und nachvollziehbare Darstellung des Sachverhalts in den Auditfeststellungen, Auditschlussfolgerungen und dem Auditbericht. Die Prüfungsergebnisse des Audits müssen (bei unverändertem Sachstand) wiederholbar sein. • Angemessene Sorgfalt: Ein Auditor muss bei der Durchführung des Audits mit Sorgfalt vorgehen. Sein Urteilsvermögen ist unerlässliche Voraussetzung für sachgerechte und fundierte Audits. Hierzu gehört auch der jeweils aktuelle Kenntnisstand der Informations- und IT-Sicherheit beim Auditor. • Unabhängigkeit und Objektivität: Jeder Auditor des Auditteams muss dem BSI gegenüber eine Unabhängigkeitserklärung mit Begründung abgeben. Wenn der Auditor oder die Firma, für die er tätig ist, in einer Beziehung zu der zu auditierenden Institution oder Teilen davon stehen, die einen Interessenskonflikt hervorrufen, ist anzunehmen, dass diese Unabhängigkeit nicht gegeben ist. • Nachvollziehbarkeit: Alle Auditschlussfolgerungen müssen objektiv nachvollzogen werden können. Hierzu gehört eine dokumentierte und nachvollziehbare Methodik, mit der der Auditor zu seinen Schlussfolgerungen kommt. • Nachweise: Die rationale Grundlage, um zu zuverlässigen und nachvollziehbaren Auditschlussfolgerungen in einem systematischen Auditprozess zu kommen, ist die eindeutige und folgerichtige Dokumentation der Ergebnisse. Die Auditnachweise müssen verifizierbar sein. Hierbei können die Ergebnisse auf Stichproben der verfügbaren Informationen beruhen, da ein Audit während eines begrenzten Zeitraumes und mit begrenzten Ressourcen vorgenommen wird. Die Auswahl der Stichproben muss für den IT-Verbund und seine Sicherheitsstruktur relevant und in einem sinnvollen Umfang vorgenommen werden. 10 Bundesamt für Sicherheit in der Informationstechnik
  11. 11. Prüfschema für ISO 27001-Audits 3. Ablauf des Auditprozesses 3.1 Überblick über den Auditprozess Nachdem eine Institution ein Informationssicherheits-Managementsystem nach ISO 27001 auf der Basis der IT-Grundschutz-Methodik umgesetzt hat und alle relevanten Dokumente vorliegen, kann sie einen Auditor beauftragen, auf Grundlage des vorliegenden Prüfschemas den IT-Verbund und seine Sicherheitsstruktur unabhängig zu überprüfen. Der Auditor dokumentiert seine Prüfergebnisse in einem Auditbericht, der zusammen mit dem Zertifizierungsantrag der Zertifizierungsstelle als Grundlage für ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz dient. 3.2 Zielsetzung und Umfang des Audits Ziel des Audits ist die unabhängige Überprüfung der Umsetzung der ISO 27001-Vorgaben mit Hilfe der IT-Grundschutz-Methodik in einem fest definierten IT-Verbund einer Organisation. Aus diesem Grund muss der Auditor sowohl auf die ISO 27001 als auch auf die BSI-Standards zu IT-Grundschutz und die IT-Grundschutz-Kataloge Zugriff haben. Die Prüfung wird durch einen oder mehrere Auditoren durchgeführt, die hierzu eine gültige BSI-Lizenz besitzen. Jedes Audit im Sinne dieses Dokumentes umfasst zwei Phasen: Eine Dokumentenprüfung und eine Umsetzungsprüfung vor Ort. Die Ergebnisse des Audits werden von der Zertifizierungsstelle des BSI analysiert und bewertet. Bei im Rahmen eines geregelten Zertifizierungsaudits nachgewiesener Eignung der Organisation erteilt die Zertifizierungsstelle des BSI ein Zertifikat nach ISO 27001 auf der Basis von IT-Grundschutz, das grundsätzlich drei Jahre gültig ist, sich aber jährlich im Rahmen eines Überwachungsaudits bewähren muss. Nach drei Jahren kann das Zertifikat nach einem Re- Zertifizierungsaudit um weitere 3 Jahre verlängert werden. 3.3 Rollen und Zuständigkeiten im Auditprozess Im Auditprozess gibt es drei unterschiedliche Rollen: • Antragsteller, • Auditor; Auditteamleiter als befugter Vertreter des Auditteams • Zertifizierungsstelle. Bundesamt für Sicherheit in der Informationstechnik 11
  12. 12. Prüfschema für ISO 27001-Audits Abbildung 2: Rollen im Auditprozess Der Antragsteller setzt die IT-Grundschutz-Methodik um und stellt die erforderlichen Dokumente und Nachweise der Umsetzung zur Verfügung und unterstützt die Auditoren bei der Vor-Ort-Prüfung des IT-Verbundes. Er ist Initiator des Auditprozesses. Er beauftragt einen Auditteamleiter und stellt den Zertifizierungsantrag beim BSI. Auditoren dürfen nur Themengebiete prüfen, für die sie das notwendige Fachwissen und ausreichend Erfahrung mitbringen. Falls weder der Auditteamleiter, noch die anderen Auditoren des Teams über das nötige Spezialwissen verfügen, muss der Auditteamleiter zur Unterstützung der Prüftätigkeiten und zur Absicherung der Prüfaussagen einen oder mehrere Fachexperten (Erfüllungsgehilfen) hinzuziehen. Zwei oder mehr Auditoren können sich zu einem Auditteam zusammenschließen, um ein gemeinsames Audit durchzuführen. In einem solchen Fall wird ein Auditverantwortlicher oder Auditteamleiter bestimmt. Die Rollen und Zuständigkeiten der Teammitglieder sind zu Beginn des Auditprozesses festzulegen. Auch ein Auditteam kann noch Erfüllungsgehilfen zur Unterstützung hinzuziehen. Erfüllungsgehilfen müssen ebenso wie die Auditoren Fachwissen sowie Erfahrung im Bereich Informationssicherheit besitzen. Jedes Mitglied des Auditteams muss vor Beginn des Verfahrens, d. h. mit dem Zertifizierungsantrag, eine Unabhängigkeitserklärung bei der Zertifizierungsstelle einreichen. Das BSI muss dem Einsatz des Auditors bzw. des Auditteams zustimmen. Alle Mitglieder des Auditteams müssen im Auditbericht aufgeführt sein. Hilfskräfte für reine Verwaltungstätigkeiten, beispielsweise Schreibkräfte, können eingesetzt werden, wenn diese vom Auditteamleiter entsprechend überwacht und kontrolliert werden. Für Hilfskräfte gelten keine einschränkenden Bedingungen, sie müssen auch nicht im Auditbericht genannt werden. Die Verantwortung für den Auditprozess verbleibt in jedem Fall beim Auditteamleiter. Die Zertifizierungsstelle des BSI ist eine unabhängige dritte Instanz, die die Gleichwertigkeit der Prüfungen und der Auditberichte gewährleistet. Sie veröffentlicht die Schemata und Interpretationen. 3.4 Geforderte Referenzdokumente Die folgenden Referenzdokumente bilden die Grundlage für die Auditierung und müssen vom Antragsteller dem Auditor und der Zertifizierungsstelle als Arbeitsgrundlage zur Verfügung gestellt werden: • IT-Sicherheitsrichtlinien (A.0) • IT-Strukturanalyse (A.1) • Schutzbedarfsfeststellung (A.2) 12 Bundesamt für Sicherheit in der Informationstechnik
  13. 13. Prüfschema für ISO 27001-Audits • Modellierung des IT-Verbunds (A.3) • Ergebnis des Basis-Sicherheitschecks (A.4) • Ergänzende Sicherheitsanalyse (A.5) • Risikoanalyse (A.6) Die Vorlage der Ergebnisse des Basis-Sicherheitschecks (A.4) bei der Zertifizierungsstelle ist optional. Dem Auditor muss das Referenzdokument A.4 jedoch auf jeden Fall als Arbeitsgrundlage zur Verfügung gestellt werden. Der Auditor muss darüber hinaus während des Vor-Ort-Audits weitere Dokumente und Aufzeichnungen einsehen. Falls die Auditierung im Rahmen einer Re-Zertifizierung erfolgt, muss für jedes Referenzdokument kurz herausgestellt werden, welche Veränderungen sich gegenüber der vorhergehenden Zertifizierung ergeben haben. Die Referenzdokumente sind Bestandteil des Auditberichtes. Sollten zusätzliche Dokumente erstellt worden sein, die zur Prüfung heranzuziehen sind, sind diese ebenfalls in der aktuellen Fassung dem Auditor vorzulegen und können ggf. Gegenstand des Auditberichtes werden. Soweit der Antragsteller und der Auditor der Ansicht sind, dass Maßnahmen zur Gewährleistung der Vertraulichkeit bei der Übergabe der Dokumentation erforderlich sind, sollten geeignete Schritte ergriffen werden. Der Auditor ist durch vertragliche Vereinbarungen mit dem BSI verpflichtet, Details zum Audit- und Zertifizierungsverfahren, im Rahmen des Audits gewonnenen Informationen streng vertraulich zu behandeln sowie Beschäftigten und Dritten Informationen nur zu geben, soweit ihre Kenntnis unbedingt notwendig und mit den vertraglichen Vereinbarungen mit dem BSI und der auditierten Organisation vereinbar ist. A.0 IT-Sicherheitsrichtlinien Die oberste Managementebene ist verantwortlich für das zielgerichtete und ordnungsgemäße Funktionieren einer Organisation und damit auch für die Gewährleistung der Informationssicherheit nach innen und außen. Daher muss diese den Informationssicherheitsprozess initiieren, steuern und kontrollieren. Dazu gehören strategische Leitaussagen zu Informationssicherheit, konzeptionelle Vorgaben und auch organisatorische Rahmenbedingungen, um Informationssicherheit innerhalb aller Geschäftsprozesse erreichen zu können. Aus diesem Grund müssen mindestens folgende Richtlinien dokumentiert sein: • IT-Sicherheitsleitlinie • Richtlinie zur Risikoanalyse • Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen • Richtlinie zur internen ISMS-Auditierung (Auditierung des Managementsystems für Informationssicherheit) • Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen Der Auditor kann sonstige Richtlinien und Konzepte stichprobenartig prüfen. Dies können beispielsweise dokumentierte Verfahren der Schicht 1 sein, die die Organisation zur Sicherstellung der wirksamen Planung, Durchführung und Kontrolle ihrer Informationssicherheitsprozesse benötigt. A.1 IT-Strukturanalyse In diesem Dokument wird der zu untersuchende IT-Verbund dargestellt. Nähere Informationen zur IT- Strukturanalyse finden sich in Kapitel 4.1 der IT-Grundschutz-Methodik. Im Einzelnen müssen folgende Informationen vorliegen: • Definition des Untersuchungsgegenstands Zertifizierbar sind eine oder mehrere Fachaufgaben, Geschäftsprozesse oder Organisationseinheiten. Der Untersuchungsgegenstand muss eine geeignete Mindestgröße besitzen. Bundesamt für Sicherheit in der Informationstechnik 13
  14. 14. Prüfschema für ISO 27001-Audits • Integration des Untersuchungsgegenstands in das Gesamtunternehmen In einem kurzen Firmen-/Behördenprofil (ca. 10 Zeilen) müssen u. a. die wesentlichen Tätigkeitsfelder der Institution und die Größe des IT-Verbunds deutlich werden. Die Bedeutung des Untersuchungsgegenstands für die Institution als Ganzes ist darzustellen. • Bereinigter Netzplan Der bereinigte Netzplan stellt die Komponenten im IT-Verbund und deren Vernetzung dar. Dabei sind gleichartige Komponenten zu Gruppen zusammengefasst. • Liste der IT-Systeme In dieser Liste sind alle im IT-Verbund vorhandenen IT-Systeme (Server, Clients, TK-Anlagen, aktive Netzkomponenten, etc.) aufgeführt. • Liste der IT-Anwendungen In dieser Liste sind die wichtigsten im IT-Verbund eingesetzten Anwendungen aufgeführt. Eine IT-Anwendung kann dabei ein bestimmtes Software-Produkt (beispielsweise ein Programm zur Ressourcenplanung), eine sinnvoll abgegrenzte Einzelaufgabe (beispielsweise Bürokommunikation) oder ein Geschäftsprozess (z. B. Abrechnung von Reisekosten) sein. Eine Zuordnung der Anwendungen zu den IT-Systemen ist zu erstellen. Häufig ist es auch sinnvoll, die Abhängigkeiten der Anwendungen untereinander zu verdeutlichen, um den Schutzbedarf später besser festlegen zu können. • Liste der Kommunikationsverbindungen In dieser Liste sind einerseits alle im IT-Verbund vorhandenen und andererseits alle über die Grenzen des IT-Verbunds gehenden Kommunikationsverbindungen aufgeführt. • Liste der Räume In dieser Liste sind alle Räume im IT-Verbund mit Funktion aufgeführt. Es kann sinnvoll sein, hier einen Raumplan ergänzend beizufügen. A.2 Schutzbedarfsfeststellung Dieses Dokument beschreibt die Ergebnisse der Schutzbedarfsfeststellung, wie sie in Kapitel 4.2 der IT-Grundschutz-Methodik beschrieben ist. Im Einzelnen müssen folgende Informationen enthalten sein: • Definition der Schutzbedarfskategorien Die Definition der drei Schutzbedarfskategorien „normal“, „hoch“ und „sehr hoch“ geschieht anhand von möglichen Schäden (z. B. finanzielle Schäden oder Verstöße gegen Gesetze), die bei Beeinträchtigung von IT-Anwendungen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit auftreten können. • Schutzbedarf der IT-Anwendungen Ausgehend von den Geschäftsprozessen ist für jede in der Liste der IT-Anwendungen aufgeführte Anwendung der Schutzbedarf in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit zu dokumentieren und zu begründen. • Schutzbedarf der IT-Systeme Der Schutzbedarf eines IT-Systems leitet sich aus dem Schutzbedarf der IT-Anwendungen ab, die auf dem IT-System ablaufen oder deren Daten das IT-System transportiert oder verarbeitet. Für jedes in der Liste der IT-Systeme aufgeführte IT-System ist der Schutzbedarf in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit zu dokumentieren und zu begründen. • Schutzbedarf der Kommunikationsverbindungen Im Gegensatz zu IT-Anwendungen und IT-Systemen wird bei den Kommunikationsverbindungen lediglich zwischen kritischen und nichtkritischen Verbindungen unterschieden. Kritisch ist eine Verbindung, wenn sie eine Außenverbindung darstellt, wenn sie hochschutzbedürftige Daten transportiert oder wenn über diese Verbindung bestimmte hochschutzbedürftige Daten nicht transportiert werden dürfen. Vorzulegen ist entweder eine Liste der kritischen Verbindungen oder ein Netzplan, in dem die kritischen Verbindungen graphisch hervorgehoben sind. 14 Bundesamt für Sicherheit in der Informationstechnik
  15. 15. Prüfschema für ISO 27001-Audits • Schutzbedarf der Räume Der Schutzbedarf leitet sich von den dort betriebenen IT-Systemen, aufbewahrten Datenträgern und Dokumenten ab. Der Schutzbedarf der Räume, in denen IT-Systeme betrieben oder die anderweitig für den IT-Betrieb genutzt werden, ist zu dokumentieren. A.3 Modellierung des IT-Verbunds Die Modellierung des IT-Verbundes legt fest, welche Bausteine der IT-Grundschutz-Kataloge auf welche Zielobjekte im betrachteten IT-Verbund angewandt werden. Diese Zuordnung erfolgt individuell für den betrachteten IT-Verbund in Form einer Tabelle. Als Richtlinie hierzu findet sich in den IT-Grundschutz-Katalogen ein Modellierungshinweis. In diesem wird für jeden Baustein beschrieben, auf welche Arten er auf verschiedenen Zielobjekten anzuwenden ist. A.4 Ergebnis des Basis-Sicherheitschecks Für jede Maßnahme, die in den für die Modellierung herangezogenen Bausteinen enthalten ist, ist der Umsetzungsstatus („entbehrlich“, „ja“, „teilweise“ oder „nein“) vermerkt. Für jede Maßnahme mit Umsetzungsstatus „entbehrlichquot; muss außerdem eine Begründung aufgeführt sein. Erläuterungen zum Basis-Sicherheitsscheck stehen in Kapitel 4.4 der IT-Grundschutz-Methodik zur Verfügung. A.5 Ergänzende Sicherheitsanalyse Für alle Zielobjekte des IT-Verbundes, die • einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit haben oder • mit den existierenden Bausteinen der IT-Grundschutz-Kataloge nicht hinreichend abgebildet (modelliert) werden können oder • in Einsatzszenarien (Umgebung, Anwendung) betrieben werden, die im Rahmen des IT- Grundschutzes nicht vorgesehen sind, ist zu entscheiden, ob weitere Risikobetrachtungen erforderlich sind. Dieser Entscheidungsprozess auf Managementebene wird als ergänzende Sicherheitsanalyse bezeichnet. Die Ergebnisse der ergänzenden Sicherheitsanalyse sind begründet und nachvollziehbar in Form eines Managementberichtes über die ergänzende Sicherheitsanalyse vorzulegen. A.6 Ergänzende Risikoanalyse Im Rahmen der ergänzenden Sicherheitsanalyse ist eine Entscheidung getroffen worden, für welche Zielobjekte eine ergänzende Risikoanalyse durchgeführt werden muss. Die Dokumentation einer Risikoanalyse und deren Ergebnisse sind als Referenzdokument A.6 vorzulegen. Die ergänzende Risikoanalyse ist entsprechend der selbst definierten Richtlinie zur Risikoanalyse durchzuführen und zu dokumentieren. Modelle zur Durchführung von Risikoanalysen sind beispielsweise im BSI-Standard 100-3 „Risikoanalyse auf der Basis von IT-Grundschutz“ sowie in der ISO/IEC 27005 enthalten 3.5 Zertifizierungsantrag beim BSI Vor Beginn des Audits müssen folgende Voraussetzungen erfüllt sein: • Dem BSI muss der vollständige Zertifizierungsantrag mindestens 2 Monate vor Beginn des Audits (Sichtung der Referenzdokumente) vorliegen. Der Zertifizierungsantrag enthält Angaben zum Antragsteller und verschiedene Daten zum Untersuchungsgegenstand sowie der Auditierungstätigkeit. Dabei müssen u.a. die untenstehenden Angaben vollständig sein: • Eine Beschreibung des Untersuchungsgegenstandes. Dazu ist ein kurzes Behörden- bzw. Firmenprofil vorzulegen, aus dem u.a. die wesentlichen Tätigkeitsfelder der Institution sowie Bundesamt für Sicherheit in der Informationstechnik 15
  16. 16. Prüfschema für ISO 27001-Audits die Größe und Bedeutung des Untersuchungsgegenstandes für die Institution deutlich werden. Der zu zertifizierende Untersuchungsgegenstand ist zu beschreiben sowie ein bereinigter Netzplan vorzulegen. Die Zertifizierungskennung wird erst vergeben, wenn die prinzipielle Zertifizierbarkeit, also die sinnvolle Abgrenzung des IT-Verbunds, vom BSI geprüft wurde. Abstimmungen oder Rückfragen dazu können durch telefonischen Kontakt oder, falls notwendig, durch eine Besprechung geschehen. Um zu vermeiden, dass ein Antrag für einen nicht sinnvoll abgegrenzten IT-Verbund gestellt wird, besteht die Möglichkeit, die Dokumente schon vor dem eigentlichen Antrag beim BSI zur Abstimmung einzureichen und die prinzipielle Zertifizierbarkeit des IT-Verbundes zu klären. • Bei einer Re-Zertifizierung sind die Änderungen im IT-Verbund im Vergleich zum IT- Verbund der Erst-Zertifizierung anzugeben und kurz zu beschreiben. Bei der Verwendung überarbeiteter oder neuer Bausteine sind diese im Antrag mit anzugeben und zu beschreiben. Gegebenenfalls ist auch hier eine Absprache mit dem BSI notwendig. • Im Zertifizierungsantrag sind Angaben zum Zeitplan des Audits (Erst- bzw. Re- Zertifizierungsaudit) sowie der Abgabe des Auditberichtes an das BSI zu machen. Terminänderungen sind dem BSI per E-Mail an zertifizierung@bsi.bund.de rechtzeitig mitzuteilen. Hinweis: Die Planung der Überwachungsaudits (Zeitplan, Auditteamleiter, usw.) ist Bestandteil des im Rahmen des Zertifizierungsverfahrens entstehenden Auditberichtes. • Jeder Auditor des Auditteams muss dem BSI gegenüber die Unabhängigkeitserklärung mit Begründung abgeben. Wenn der Auditor oder die Firma, für die er tätig ist, in einer Beziehung zu der zu auditierenden Institution oder Teilen davon stehen, die einen Interessenskonflikt hervorrufen können, ist diese Unabhängigkeit in der Regel nicht mehr gegeben. Eine solche Gefährdung kann z.B. bei folgenden Konstellationen auftreten: • vorhergehende Beratung der Institution durch den Auditor selbst oder einen Kollegen / Vorgesetzten des Auditors • andere geschäftliche Verbindungen des Arbeitgebers des Auditors und der auditierten Institution • Verwandtschaftsverhältnis des Auditors mit Mitgliedern / verantwortlichen Personen der auditierten Institution oder eines Beraters Diese Unabhängigkeitserklärung muss dem BSI ebenfalls mindestens 2 Monate vor Beginn der Auditierungstätigkeit vorliegen. Die Unabhängigkeitserklärung sollte vom Antragsteller mit dem Zertifizierungsantrag eingereicht werden. Wenn der Nachweis nicht oder nicht rechtzeitig vorliegt oder ungenügend ist, kann das BSI den Auditor ablehnen. • Das BSI behält sich vor, zusätzliche Informationen zum Beschäftigungsverhältnis zwischen Auditor und Antragsteller anzufordern. Sieht das BSI die Unabhängigkeit des Auditors nicht gewährleistet, widerspricht es der Durchführung des Audits durch diesen Auditor. Formulare zur Antragstellung sowie für die Unabhängigkeitserklärung sind auf den Webseiten des BSI zu finden. 3.6 Durchführung von Audits 3.6.1 Audittypen Für die ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz sind – bezogen auf die dreijährige Laufzeit eines Zertifikates – verschiedene Typen von Audits zu unterscheiden: • Erstzertifizierungsaudit: Im Rahmen eines Erstzertifizierungsaudits wird erstmalig der betreffende IT-Verbund der Institution unter ISO 27001- und IT-Grundschutz-Aspekten auditiert. 16 Bundesamt für Sicherheit in der Informationstechnik
  17. 17. Prüfschema für ISO 27001-Audits • Überwachungsaudit: In die dreijährige Laufzeit eines Zertifikates integriert sind jährliche Überwachungsaudits der zertifizierten Institution, die auf die Kontrolle der für das Zertifikat nachgewiesenen IT-Sicherheit im IT-Verbund zielen. Das Audit dient dem Nachweis, dass der zertifizierte IT-Verbund weiterhin den Sicherheitsansprüchen bzgl. ISO 27001 und IT- Grundschutz genügt. • Re-Zertifizierungsaudit: Nach Ablauf der Zertifikatslaufzeit von drei Jahren wird eine Re- Zertifizierung des IT-Verbundes fällig. Diese umfasst insbesondere ein Re-Zertifizierungsaudit des IT-Verbundes, das zum großen Teil identisch zum Erstzertifizierungsaudit abläuft. Erstzertifizierungsaudit, Überwachungsaudit und Re-Zertifizierungsaudit unterscheiden sich hinsichtlich ihrer Zielsetzung und ihres Umfangs voneinander. Bei jedem Audittyp findet eine Initialisierung (z.B. Antragstellung, Klärung von Zuständigkeiten und Befugnissen, Abstimmungen) und eine Bewertung (Schreiben des Auditberichts durch den Auditor, Sicherstellen der Vergleichbarkeit von Zertifizierungsverfahren durch die Zertifizierungsstelle) statt. Führt der Auditor ein Audit zur Ausstellung eines Auditortestats durch, entspricht das Verfahren des Audits dem eines Erstzertifizierungsaudits bzw. eines Re-Zertifizierungsaudits. Ein Voraudit ist im Rahmen der ersten in Anspruch genommenen Stufe des Auditortestats bzw. im Rahmen des Erstzertifizierungsaudits zulässig. Im Rahmen eines Re-Zertifizierungsaudits ist ein Voraudit nur bei einer wesentlicher Erweiterung/Veränderung des Geltungsbereichs zulässig. Abbildung 3: Audittypen Bundesamt für Sicherheit in der Informationstechnik 17
  18. 18. Prüfschema für ISO 27001-Audits 3.6.2 Auditphasen Jedes Audit setzt sich grundsätzlich aus zwei getrennten, aufeinander aufbauenden Phasen zusammen. Phase 1 umfasst zunächst die Dokumentenprüfung, d.h. die Prüfung der Referenzdokumente, die von der zu auditierenden Institution erstellt und für die Zertifizierung eingereicht werden. In Phase 2 schließt sich eine Vor-Ort-Prüfung des IT-Verbundes durch den Auditor an, in der im realen IT- Verbund die praktische Umsetzung der in den Referenzdokumenten dokumentierten Sicherheitsmaßnahmen bzgl. ISO 27001 und IT-Grundschutz auf ihre Vollständigkeit, Korrektheit und Wirksamkeit hin überprüft wird (Umsetzungsprüfung). 3.6.2.1 Erstzertifizierungsaudit Die erste Auditphase des Erstzertifizierungsaudits dient dazu, dass der Auditor ein ausreichendes Verständnis für den IT-Verbund erlangt und feststellt, ob die Konzeption der IT-Sicherheitsstruktur des IT-Verbundes bzgl. ISO 27001 und IT-Grundschutz schlüssig und sinnvoll und der Grad der Umsetzung der IT-Grundschutz-Anforderungen für eine Fortsetzung des Audits ausreichend ist. Damit der Auditor ein ausreichendes Verständnis vom IT-Verbund gewinnen kann, ist es sinnvoll, einen Teil der Phase 1 bei der zu auditierenden Institution durchzuführen. Beim sogenannten Voraudit kann der Auditor gezielt einzelne Aspekte aus Phase 1 und 2 auswählen und stichprobenartig prüfen. Diese geprüften Aspekte werden nicht im Auditbericht dokumentiert. Außer intensiven Gesprächen mit dem Antragsteller hat der Auditor die Möglichkeit, sich Dokumente, Prozeduren und Implementierungen anzusehen, um einen Eindruck davon zu bekommen, ob ein Zertifizierungsaudit prinzipiell zu einem positiven Ergebnis führen könnte. Das Voraudit darf nicht mehr als ein Drittel der für das nachfolgende konkrete Audit angesetzten Zeit in Anspruch nehmen. Kommt der Auditor nach dem Voraudit zu der Empfehlung, das Audit mindestens um eine von ihm festgesetzte Zeit aufzuschieben, so teilt er diese dem Antragsteller mit. Folgt ihm dieser in seiner Entscheidung, wird der Rest des Audits später an diesem Punkt weitergeführt. Ein erneutes Voraudit ist nicht möglich. Das BSI wird von dieser Entscheidung informiert. Ein Voraudit ist nur im Rahmen eines Zertifizierungsverfahrens möglich. In Phase 1 des Audits werden die vom Antragsteller vorgelegten Referenzdokumente gesichtet und anhand der Prüfkriterien (siehe Kapitel 4) verifiziert. Die Prüfergebnisse werden im Auditbericht dokumentiert. Stellt der Auditor bei der Dokumentenprüfung Abweichungen (z.B. in der Dokumentation oder in der Sicherheitskonzeption des IT-Verbundes) fest, teilt er diese dem Antragsteller zusammen mit einer angemessenen Frist zur Behebung mit. Nach Abschluss der Phase 1 des Audits entscheidet der Auditor auf Grundlage der Ergebnisse aus dieser Auditphase, ob eine Fortsetzung des Audits mit Phase 2 sinnvoll ist. Der Auditor prüft auch, ob im Auditteam die Fachkenntnisse und Kompetenzen vorhanden sind, um mit der 2. Phase des Audits fortzufahren und erweitert gegebenenfalls das Auditteam. Zusätzliche Auditoren und Erfüllungsgehilfen müssen der Zertifizierungsstelle des BSI gemeldet werden und ebenfalls eine Unabhängigkeitserklärung einreichen. Bei Fortführung des Audits bereitet der Auditor auf Grundlage der Ergebnisse aus der Phase 1 des Audits die Vor-Ort-Prüfung in Phase 2 beim Antragsteller (siehe Kapitel 5) vor, indem er einen Auditplan erstellt und insbesondere die am realen IT-Verbund zu prüfenden Bausteinzuordnungen und Maßnahmen nach Vorgabe der Prüfkriterien auswählt und zusammenstellt. Der Auditplan wird in den Auditbericht mit aufgenommen und dient zugleich der zeitlichen Planung der Überwachungsaudits. Insbesondere bei einer Nicht-Fortführung des Audits muss der Auditteamleiter die Zertifizierungsstelle im BSI informieren. Anschließend begutachtet der Auditor in Phase 2 des Audits auf Basis seines Auditplans stichprobenartig die Umsetzung der dokumentierten Sachverhalte (siehe Kapitel 6). Die Prüfergebnisse, insbesondere Abweichungen, werden im Auditbericht festgehalten. Der Antragsteller hat die Möglichkeit, diese Abweichungen in einer vom Auditor festgelegten Frist zu beheben. 18 Bundesamt für Sicherheit in der Informationstechnik
  19. 19. Prüfschema für ISO 27001-Audits Kommt der Auditor insgesamt über beide Auditphasen zu einem positiven Prüfergebnis, sendet der Antragsteller oder der Auditteamleiter den finalen Auditbericht an die Zertifizierungsstelle des BSI. Bei einem negativen Ergebnis muss das BSI ebenfalls hierüber informiert werden. Die Zertifizierungsstelle des BSI überprüft den finalen Auditbericht auf Vollständigkeit, Nachvollziehbarkeit und Reproduzierbarkeit der Prüfergebnisse. Nachforderungen oder Nachfragen werden an den Auditteamleiter gestellt, der die ggf. bestehenden Unklarheiten beseitigt. Nach positiver Bewertung des Auditprozesses durch die Zertifizierungsstelle des BSI erteilt das BSI auf der Grundlage des Zertifizierungsantrages und des finalen Auditberichtes ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz. 3.6.2.2 Re-Zertifizierungsaudit Ein Re-Zertifizierungsaudit ist zum großen Teil identisch mit einem Erstzertifizierungsaudit. Änderungen zur Erstzertifizierung müssen im Auditbericht dargestellt werden. Die Möglichkeit eines Voraudits besteht allerdings nicht mehr. 3.6.2.3 Überwachungsaudit Ein Überwachungsaudit dient der Überwachung der für das Zertifikat nachgewiesenen Informationssicherheit im IT-Verbund im laufenden Betrieb des IT-Verbundes und hat einen geringeren Umfang als das Zertifizierungsaudit. Das Überwachungsaudit sowie der darauf basierende Auditbericht und dessen Prüfung bei der Zertifizierungsstelle des BSI müssen 1 Jahr bzw. 2 Jahre nach Ausstellung des Zertifikates abgeschlossen sein. Bei Auditortestaten werden keine Überwachungsaudits durchgeführt. Die Überwachungsaudits werden in dem beim vorhergehenden Zertifizierungsaudit geplanten Zeitrahmen (s. Kapitel 5.2) durchgeführt. In der Phase 1 des Audits werden die aus der zugrundeliegenden Zertifizierung vorliegenden bzw. vom Antragsteller überarbeiteten Referenzdokumente gesichtet. Berücksichtigt werden darüber hinaus die Auditberichte aus dem laufenden Zertifikatszyklus, d.h. der Auditbericht aus dem zugrundeliegenden Zertifizierungsprozess selbst sowie ggf. der Auditbericht aus dem ersten Überwachungsaudit. Die Prüfergebnisse werden im Auditbericht dokumentiert. Stellt der Auditor bei der Dokumentenprüfung Abweichungen (z.B. in der Dokumentation oder in der Sicherheitskonzeption des IT-Verbundes) fest, teilt er diese dem Antragsteller mit einer angemessenen Frist zur Behebung mit und dokumentiert diese im Auditbericht. Anschließend begutachtet der Auditor in der Phase 2 des Audits auf Basis des Auditplans stichprobenartig die Umsetzung der dokumentierten Sachverhalte. Die Prüfergebnisse, insbesondere Abweichungen, werden im Auditbericht festgehalten. Der Antragsteller hat die Möglichkeit, diese Abweichungen in einer vom Auditor festgelegten Frist zu beheben. Kommt der Auditor insgesamt über beide Auditphasen zu einem positiven Prüfergebnis, sendet der Antragsteller den vom Auditteamleiter erstellten finalen Auditbericht an die Zertifizierungsstelle des BSI. Bei einem negativen Ergebnis muss das BSI ebenfalls hierüber informiert werden. Die Zertifizierungsstelle des BSI überprüft den finalen Auditbericht auf Vollständigkeit, Nachvollziehbarkeit und Reproduzierbarkeit der Prüfergebnisse. Nachforderungen oder Nachfragen werden an den Auditteamleiter gestellt, der die ggf. bestehenden Unklarheiten beseitigt. Nur bei positivem Abschluss des Prüfprozesse bleibt das vom BSI erteilte ISO 27001-Zertifikat auf der Basis von IT-Grundschutz weiterhin gültig. 3.6.3 Auswahl der Auditoren Für die Auditierung des IT-Verbundes der Institution beauftragt sie diese Auditoren mit gültiger BSI- Lizenz damit, in einer unabhängigen Prüfung den Status der Informationssicherheit im IT-Verbund zu prüfen und zu verifizieren. Kontaktadressen der zugelassenen Auditoren finden sich im Internet unter der Adresse http://www.bsi.bund.de/gshb/zert/veroeffentl/auditor27001.htm Bundesamt für Sicherheit in der Informationstechnik 19
  20. 20. Prüfschema für ISO 27001-Audits Die Auditoren werden von der antragstellenden Institution ausgewählt und beauftragt und dem BSI im Zertifizierungsantrag bekanntgegeben. Bei der Auswahl der Auditoren müssen Besonderheiten im Aufbau, der Prozesse und Gegebenheiten der beauftragenden Institution berücksichtigt werden. Die Auditoren müssen die Fachkenntnisse besitzen, die sie zur Auditierung der Organisation benötigen. Die Auditoren müssen dem BSI frühzeitig einen ausführlichen Nachweis vorlegen, dass ihre Unabhängigkeit in den geplanten Audits nicht gefährdet ist (s. auch Kapitel 3.5). Das BSI behält sich das Recht vor, von der antragstellenden Institution gewählte Auditoren abzulehnen. Für eine optimale Prozessgestaltung empfiehlt es sich, für die beiden während der Zertifikatslaufzeit erforderlichen Überwachungsaudits den Auditor aus dem Zertifizierungsaudit zu wählen. Wechselt der Auditor, ist von der antragstellenden Institution dafür Sorge zu sorgen, dass (mindestens) die Referenzdokomente der antragstellenden Institution sowie alle vorhergehenden Auditberichte aus der zugrundeliegenden Zertifizierung (Auditbericht aus dem Zertifizierungsprozess selbst sowie ggf. der Auditbericht aus dem ersten Überwachungsaudit, falls erfolgt) dem Auditor für das Überwachungsaudit zur Verfügung stehen. Außerdem ist damit zu rechnen, dass die Aufwände des Auditors deutlich höher sind, da dieser sich wegen des Wechsels neu einarbeiten muss. 3.6.4 Wahl von Stichproben für das Audit Viele Prüfpunkte des vorliegenden Prüfschemas können nur stichprobenartig überprüft werden. Für eine solche Stichproben-Prüfung wählt der Auditor aus der Gesamtmenge aller Komponenten, auf die sich der jeweilige Prüfpunkt bezieht, geeignete Kandidaten in ausreichender Anzahl für die Stichprobe aus. Hinsichtlich der Größe der für einen Prüfpunkt ausgewählten Stichprobe gelten folgende Randbedingungen: • Stehen im vorliegenden Prüfschema konkrete Werte für die Größe einer Stichprobe, sind diese nur als Anhaltspunkte gedacht, die aber nicht unterschritten werden dürfen. • Bei einer großen Gesamtmenge von Komponenten, auf die sich der betreffende Prüfpunkt bezieht, wählt der Auditor einen sinnvollen Prozentsatz von Kandidaten aus der Gesamtmenge als Stichprobe aus. Bei einer kleinen Gesamtmenge prüft der Auditor eine gewisse feste Anzahl von Kandidaten aus der Gesamtmenge als Stichprobe. Unterschreitet die Gesamtmenge eine untere Grenze, entfällt die Auswahl einer Stichprobe und die Gesamtmenge wird komplett überprüft. • Stellt der Auditor bei der Prüfung einer ausgewählten Stichprobe Diskrepanzen fest, erweitert er diese Stichprobe, indem er konkret prüft, ob es sich um methodische Fehler oder um Flüchtigkeitsfehler handelt. Er schließt die Stichprobe erst ab, sobald er davon überzeugt ist, um welche Art Fehler es sich handelt. Wenn ein methodischer Fehler Grund für die Diskrepanzen war, muss von Seiten der antragstellenden Institution der komplette geprüfte Bereich überarbeitet werden. Die Auswahl der Stichproben sowie ihre Größe wird vom Auditteamleiter im Auditbericht dargestellt und begründet. Das BSI behält sich das Recht vor, Änderungen an der Auswahl der Stichproben zu verlangen. Bei einer Re-Zertifizierung werden im Allgemeinen andere Stichproben gezogen als bei einer Erstzertifizierung. In manchen Fällen kann es aber sinnvoll sein, gezielt die gleichen Stichproben noch einmal zur Prüfung heranzuziehen. Dies wird im Auditbericht für die Re-Zertifizierung entsprechend dargestellt und begründet. 3.6.5 Prüfbegleitung und Auditbegleitung Die Zertifizierungsstelle und die Lizenzierungsstelle des BSI haben ein Zertifizierungs- bzw. Lizenzierungsschema aufgebaut, das die Vergleichbarkeit von Zertifizierungsverfahren und die Kompetenz der Auditoren sicherstellt. 20 Bundesamt für Sicherheit in der Informationstechnik
  21. 21. Prüfschema für ISO 27001-Audits Die Prüfbegleitung der Zertifizierungsstelle erfolgt durch die intensive Prüfung des Auditberichtes. Dabei wird vor allem auf die Vergleichbarkeit zwischen unterschiedlichen Zertifizierungsverfahren geachtet. Antragsteller und Auditoren sollten bei der Planung von Zertifizierungsverfahren darauf achten, dass genügend Zeit und Ressourcen (Budget, Personal, ...) für Kommentierungszyklen und eventuelle Nachbesserungen eingeplant werden. Die Zertifizierungsstelle kann in Absprache mit dem Antragsteller einen Teil des Audits begleiten. Diese Kosten werden dem Antragsteller gemäß Kostenverordnung §3 in Rechnung gestellt. Wie im Lizenzierungsschema beschrieben, begleitet die Lizenzierungsstelle ein Audit des Auditors während der Vertragslaufzeit. Ferner kann sie bei Verdacht auf erhebliche Kompetenzmängel verlangen, den Auditor partiell bei seinen Auditaktivitäten zu begleiten und z.B. an der Prüfung vor Ort (Phase 2 des Audits) teilzunehmen, s. auch Lizenzierungsschema Kap. 2.9. Die Kosten hierfür werden dem Auditor gemäß Kostenverordnung §3 in Rechnung gestellt. 3.7 Erstellung des Auditberichtes Für jedes Audit ist vom Auditteamleiter ein Auditbericht zu erstellen, der alle Prüfergebnisse enthält. In Anlehnung an die Aufteilung eines Audits in zwei Phasen ist der Auditbericht in zwei Schritten zu erstellen: Im ersten Schritt dokumentiert der Auditbericht die Auditergebnisse für Phase 1 des Auditprozesses (Dokumentenprüfung), im zweiten Schritt sind die Auditergebnisse aus der Phase 2 des Auditprozesses (Umsetzungsprüfung) zu ergänzen. Der auf Phase 1 des Audits bezogene Auditbericht ist vor der Vorbereitung und Durchführung der Vor-Ort-Prüfung in Phase 2 des Audits abzuschließen. Das Format und die Inhalte eines Auditberichtes sind im Prüfschema vordefiniert und im Anhang dieses Dokumentes enthalten. Der auf Phase 1 des Audits bezogene Auditbericht umfasst aus der für einen Auditbericht vorgegebenen Gliederung die Kapitel 1, 2 und 5 sowie die Anlagen (s.u.). Für Phase 2 des Audits sind im Auditbericht die Kapitel 3 bis 6 und die Anlagen aus der vorgegebenen Gliederung zu ergänzen. Insbesondere wird in den Auditbericht eines Erst- bzw. Re- Zertifizierungsaudits auch der im Rahmen der Vorbereitung der Vor-Ort-Prüfung ausgearbeitete Auditplan eingefügt, da dieser die Planung der Überwachungsaudits beinhaltet. Die Referenzdokumente des Antragstellers sind als Anlagen dem Auditbericht beizufügen und gelten als Bestandteil des Auditberichtes. An die Zertifizierungsstelle geht nur der finale Auditbericht, d.h. der Auditbericht, der komplett die Prüfergebnisse für Phase 1 und Phase 2 des Audits beinhaltet, weiter. Der Antragsteller kann sowohl den Auditbericht für Phase 1 wie auch für Phase 2 des Audits erhalten, so dass der Antragsteller auf im Auditbericht festgehaltene und aus den Prüfergebnissen resultierende Auflagen und Empfehlungen des Auditteamleiters rechtzeitig reagieren kann. Es besteht aber auch die Möglichkeit, dass der Auditteamleiter nach Phase 1 nur die festgestellten Abweichungen an den Antragsteller weitergibt. Der Auditbericht richtet sich ausschließlich an den Antragsteller und die Zertifizierungsstelle. Die Ergebnisse des Auditberichts werden von Auditteam und BSI vertraulich behandelt und nicht an Dritte weitergegeben. Sofern ein anderer Auditor als der initial eingesetzte ein Überwachungsaudit durchführt, müssen vom Antragsteller die Auditdokumente, darunter auch der Auditbericht der Erstzertifizierung, an den neuen Auditteamleiter weitergegeben werden. Anhand des Auditberichtes kann der Antragsteller Abweichungen oder Verbesserungsmöglichkeiten in seinem IT-Sicherheitsprozess erkennen. Im Falle eines Erst- oder Re-Zertifizierungsaudits dient der zugehörige Auditbericht der Zertifizierungsstelle als Grundlage für die Erteilung des Zertifikats. Ein Auditbericht im Rahmen eines Überwachungsaudits bildet für die Zertifizierungsstelle die Grundlage für die Aufrechterhaltung eines erteilten Zertifikates. Der Auditbericht wird der Zertifizierungsstelle in Papierform mit den Unterschriften des Auditleiters sowie in elektronischer Form zur Verfügung gestellt. Sofern es sich bei der elektronischen Version um ein pdf-Dokument mit gültiger qualifizierter elektronischer Signatur des Auditteamleiters handelt, Bundesamt für Sicherheit in der Informationstechnik 21
  22. 22. Prüfschema für ISO 27001-Audits kann auf die Papierform verzichtet werden. Die elektronische Übermittlung des Auditberichtes durch den Auditteamleiter muss verschlüsselt erfolgen. 3.8 Erstzertifizierung Sobald der Auditbericht zu einem Erstzertifizierungsaudit in vollständiger Fassung bei der Zertifizierungsstelle vorliegt und die Rechnung für die Zertifizierung vom Antragsteller beglichen wurde, prüft die Zertifizierungsstelle diesen Auditbericht auf Einhaltung aller Vorgaben des vorliegenden Prüfschemas. Die Prüfung gegen das Prüfschema erfolgt mit der Zielsetzung, ein einheitliches Niveau aller Zertifizierungen und die Vergleichbarkeit von Zertifizierungsaussagen zu gewährleisten. Der Auditbericht darf sich nur auf Prüfungen des Auditors (Dokumentenprüfungen und Audit) stützen, die zum Zeitpunkt der Übergabe des Auditberichts an die Zertifizierungsstelle nicht älter als drei Monate sind. Nachforderungen der Zertifizierungsstelle müssen innerhalb von einem Monat durch den Auditor erfüllt werden, diese dürfen maximal eine Nachbesserung durch den Antragsteller nach sich ziehen. Dagegen sind mehrere Nachforderungen an den Auditbericht durch das BSI möglich. Wenn drei Monate nach Abgabe des ersten Auditberichts das Verfahren noch nicht abgeschlossen ist, muss geprüft werden, ob auf der Basis des vorliegenden Berichts noch ein Zertifikat erteilt werden kann. Ein Zertifikat wird nur erteilt, wenn der finale Auditbericht ein positives Gesamtvotum aufweist und durch die Zertifizierungsstelle akzeptiert wurde. Die Zertifizierungsstelle erteilt das Zertifikat und fertigt einen Anhang zur Urkunde mit zusätzlichen Informationen zum Zertifizierungsverfahren an sowie falls gewünscht einen Zertifikatsbutton zu Werbezwecken. Sofern der Antragsteller einer Veröffentlichung des Zertifikates zugestimmt hat, wird die Tatsache der Zertifizierung auf den Internetseiten des BSI veröffentlicht. Auf Nachfrage muss die Zertifizierungsstelle des BSI jedoch Informationen zu allen erteilten Zertifikaten mitteilen. Ein erteiltes Zertifikat ist mit jährlichen Überwachungsaudits verbunden. Für nähere Informationen zur Durchführung eines Überwachungsaudits sei auf Kap. 9 verwiesen. Ein Auditbericht zu einem Überwachungsaudit (in finaler Fassung) wird ebenfalls von der Zertifizierungsstelle gegen die Vorgaben des definierten Prüfschemas geprüft. Nur im Falle der Einhaltung aller Vorgaben bleibt das erteilte Zertifikat gültig. Es erfolgt keine Neuausstellung der Zertifikatsurkunde oder Ergänzung des zugehörigen Anhangs durch die Zertifizierungsstelle. Die zertifizierte Institution darf die Urkunde sowie einen vom BSI zur Verfügung gestellten Zertifikatsbutton nur unter der Bedingung verwenden, dass die Zertifikatsurkunde und der zugehörige Anhang jederzeit auf Nachfrage zur Verfügung gestellt werden sowie die mit dem Zertifikatsbutton verbundenen und der zertifizierten Institution mitgeteilten Verwendungsbedingungen für den Button beachtet werden. Ist das Zertifikat nicht mehr gültig oder ist das Zertifikat ausgesetzt, darf weder mit dem Zertifikatsbutton noch mit dem Zertifikat (weiter) geworben werden. 3.9 Re-Zertifizierung Ein Zertifikat ist drei Jahre gültig. Vor Ablauf der Gültigkeit des Zertifikates kann ein Re- Zertifizierungsverfahren durchgeführt werden. Das Re-Zertifizierungsverfahren, sein Ablauf und seine Rahmenbedingungen sind einer Erst- Zertifizierung vergleichbar und sind sinngemäß zu übertragen, wobei Änderungen zum vorhergehenden Audit deutlich gemacht werden müssen. Ein Voraudit darf bei einer Re-Zertifizierung nicht erfolgen. Ein im Rahmen einer Re-Zertifizierung erteiltes Zertifikat ist wie ein Erst-Zertifikat für drei Jahre gültig und mit jährlichen Überwachungsaudits verknüpft. Eine Verlängerung von Auditortestaten ist nicht möglich. Um die Qualifizierung nach der zweijährigen Gültigkeitsdauer der Auditortestate fortzusetzen, muss stattdessen eine höhere Stufe im 22 Bundesamt für Sicherheit in der Informationstechnik
  23. 23. Prüfschema für ISO 27001-Audits Qualifizierungsschema erreicht werden. Weitere Informationen zu der Verlängerung von Auditortestaten sind im Kapitel 11.2 zu finden. 3.10 Aussetzung und Zurückziehung von Zertifikaten 3.10.1 Aussetzung von Zertifikaten Die Zertifizierungsstelle behält sich vor, erteilte Zertifikate auszusetzen. Mögliche Gründe hierfür können sein: • Das Überwachungsaudit wird nicht fristgerecht durchgeführt. • Der Auditbericht zum Überwachungsaudit wird zu spät bei der Zertifizierungsstelle eingereicht. • Im Überwachungsaudit werden Abweichungen im IT-Verbund bzgl. seiner Dokumentation und/oder Realisierung erkannt, die vom Antragsteller innerhalb der Frist noch nicht behoben sind. Ferner kann auf Wunsch der zertifizierten Institution nach Rücksprache mit der Zertifizierungsstelle die Aussetzung eines Zertifikates erfolgen. Ausgesetzte Zertifikate werden aus der Liste der ISO 27001-Zertifikate auf der Basis von IT- Grundschutz auf den Internetseiten des BSI entfernt. Die Zertifikatsurkunde inklusive Anhang wird vom Zertifikatsinhaber im Original zurückgefordert und ist an die Zertifizierungsstelle zurückzugeben. Mit ausgesetzten Zertifikaten und dem zugehörigen Zertifikatsbutton darf keine Werbung mehr betrieben werden. Die Zertifizierungsstelle macht Vorgaben bezüglich des Umgangs mit den für die Aussetzung eines Zertifikates festgestellten Gründen und bestimmt das weitere Vorgehen. Sind die Ursachen, die zur Aussetzung eines Zertifikates geführt haben, den Vorgaben der Zertifizierungsstelle entsprechend beseitigt, erhält das betreffende Zertifikat seine Gültigkeit zurück und wird unverändert wieder in die Liste der ISO 27001-Zertifikate auf der Basis von IT-Grundschutz auf den Internetseiten des BSI aufgenommen. 3.10.2 Zurückziehung von Zertifikaten Die Zertifizierungsstelle hat die Möglichkeit, Zertifikate zurückzuziehen. Mögliche Gründe hierfür können sein: • Im Überwachungsaudit werden gravierende Abweichungen im IT-Verbund bzgl. seiner Dokumentation und / oder Realisierung erkannt, die vom Antragsteller nicht in einem angemessenen Zeitraum behoben werden können. • Ein Überwachungsaudit ergibt, dass der IT-Verbund die Anforderungen an ein ISMS nicht mehr erfüllt bzw. den Anforderungen des IT-Grundschutzes nicht mehr gerecht wird. • Der Verstoß gegen Auflagen aus der Zertifzierung wird bekannt (beispielsweise ein Verstoß gegen die Verwendungsbedingungen für das Zertifikat, die Nichteinhaltung von Auflagen, die sich aus dem Zertifizierungsprozess bzw. dem Zertifikats(anhang), Zertifizierungsbescheid oder Auditbericht ergeben, wie etwa wesentliche Veränderungen am zertifizierten IT-Verbund ohne Information an die Zertifizierungsstelle, Irreführungen und Täuschungen der Institution gegenüber dem Auditor bzw. dem BSI, begründete Beschwerden beim BSI über die Institution) Zurückgezogene Zertifikate werden aus der Liste der ISO 27001-Zertifikate auf der Basis von IT- Grundschutz (auch auf den Internetseiten des BSI) entfernt. Die Zertifikatsurkunde inklusive Anhang wird von der zertifizierten Institution im Original zurückgefordert und ist an die Zertifizierungsstelle zurückzugeben. Mit zurückgezogenen Zertifikaten und dem zugehörigen Zertifikatsbutton darf keine Werbung mehr betrieben werden. Bundesamt für Sicherheit in der Informationstechnik 23
  24. 24. Prüfschema für ISO 27001-Audits Ein zurückgezogenes Zertifikat kann nicht wieder aktiviert und in einen gültigen Zustand versetzt werden. Für den betreffenden IT-Verbund ist, falls vorgesehen, ein neues Zertifizierungsverfahren aufzusetzen. Hält das BSI es z.B. nach Beschwerden über die Institution für erforderlich, kurzfristig ein Audit durchzuführen oder durch einen Auditor durchführen zu lassen, so läuft dies nach den Vorgaben dieses Dokumentes ab. Bei begründeten Beschwerden ist die Durchführung dieses Audits kostenpflichtig. 24 Bundesamt für Sicherheit in der Informationstechnik
  25. 25. Prüfschema für ISO 27001-Audits 4. Phase 1 des Zertifizierungsaudits: Sichtung der Referenzdokumente 4.1 Überblick über die Auditaktivitäten Die vom Antragsteller vorgelegten Referenzdokumente werden gesichtet und anhand der folgenden Kriterien bewertet. Alle Bewertungen der Referenzdokumente werden in den Auditbericht übernommen. Die durchgeführten Prüfungen müssen angemessen und reproduzierbar sein. Die Prüfergebnisse und Bewertungen müssen im Auditbericht verständlich und nachvollziehbar dokumentiert werden. 4.2 Voraudit Beim Voraudit kann der Auditor gezielt einzelne Aspekte aus Phase 1 und 2 auswählen und stichprobenartig prüfen. Außer intensiven Gesprächen mit dem Antragsteller hat der Auditor die Möglichkeit, sich Dokumente, Prozeduren und Implementierungen anzusehen, um einen Eindruck davon zu bekommen, ob ein Zertifizierungsaudit prinzipiell zu einem positiven Ergebnis führen könnte. Falls der Auditor hierbei nicht zu einem positiven Votum kommt, ist es sinnvoll, das Audit abzubrechen und zu einem späteren Zeitpunkt fortzuführen. Prüfungen, die dem Auditor nur dazu dienen, ein Verständnis des IT-Verbundes zu gewinnen, müssen nicht ausführlich dokumentiert werden. Das Voraudit darf nicht mehr als ein Drittel der für das nachfolgende konkrete Audit angesetzten Zeit in Anspruch nehmen. Das Voraudit darf nicht dem Zweck dienen, die Institution auf später geprüfte Aspekte vorzubereiten, indem identische Prüfungen wiederholt werden. Es können aber Prüfungen vorgezogen werden, d.h. Prüfungen aus dem vorliegenden Prüfschema werden bereits im Voraudit durchgeführt und im Auditbericht dokumentiert. Wird ein Voraudit durchgeführt, so muss im Auditbericht dessen Umfang und Dauer kurz dargestellt werden. Wenn der Auditor ein Voraudit durchführt, ist es sinnvoll, unter anderem die Prüfpunkte zu „4.3 Aktualität der Dokumente“, „4.4 IT-Sicherheitsrichtlinien“, „4.5.1 Nachvollziehbarkeit der Abgrenzung des IT-Verbunds“ und „6.2 Wirksamkeit des Managementsystems für Informationssicherheit“ schon zu diesem Zeitpunkt durchzuführen oder anzureißen. 4.3 Aktualität der Dokumente 4.3.1 Aktualität der Version der Prüfgrundlagen Ziel: Es muss festgelegt werden, welche Version des BSI-Standards 100-2 und damit der Version des Standards 27001 sowie welche Version der IT-Grundschutz-Kataloge als Grundlage für die Auditierung verwendet werden soll. Zulässig ist für den Standard 100-2 die Verwendung der aktuellen Version, für die IT-Grundschutz-Kataloge ist auch die Vorgängerversion zulässig. Es wird jedoch dringend empfohlen, die jeweils aktuelle Version der IT- Grundschutz-Kataloge zu verwenden, da zum Zeitpunkt der Zertifikatsvergabe geprüft wird, ob eine zulässige Version verwendet wurde. Nur für Auditierungen auf der Grundlage dieser Versionen kann ein Zertifikat vergeben werden. Aktion: Der Auditor dokumentiert die Versionen (Monat, Jahr) der Dokumente, auf deren Grundlage die Auditierung des Untersuchungsgegenstands erfolgt ist. Votum: Werden zulässige Versionen angewendet? Bundesamt für Sicherheit in der Informationstechnik 25
  26. 26. Prüfschema für ISO 27001-Audits 4.3.2 Aktualität der Referenzdokumente Ziel: Der Auditor führt das Audit auf einem bestimmten Dokumentenstand durch, der zum Zeitpunkt der Abgabe der Referenzdokumente an den Auditor gültig ist. Der Auditor prüft, ob die ihm vorliegenden Dokumente von ausreichender Aktualität sind. Aktion: Der Auditor bewertet die Aktualität der Referenzdokumente. Hinweis: Da einige Dokumente (z.B. Richtlinien) allgemeiner formuliert sind als andere (z.B. der Basis-Sicherheitscheck), werden Änderungen in Dokumenten unterschiedlich häufig vorgenommen. Alle Dokumente müssen aber regelmäßig bewertet werden, ob sie noch den aktuellen Gegebenheiten entsprechen. Votum: Sind die Referenzdokumente von ausreichender Aktualität? 4.3.3 Datum des Basis-Sicherheitschecks Ziel: Das Audit ist durch das Datum des Basis-Sicherheitschecks gekennzeichnet. Da regelmäßig Neubewertungen des Sicherheitslage des IT-Verbundes erfolgen müssen, darf die letzte Aktualisierung des Basis-Sicherheitschecks zum Zeitpunkt der Abgabe des Auditberichtes an die Zertifizierungsstelle nicht älter als 1 Jahr sein. Aktion: Der Auditor dokumentiert Datum und Version des Basis-Sicherheitschecks, der zur Prüfung herangezogen wurde. 4.4 IT-Sicherheitsrichtlinien 4.4.1 Vollständigkeit der IT-Sicherheitsrichtlinien Ziel: Strategische Leitaussagen zu Informationssicherheit, konzeptionelle Vorgaben und auch organisatorische Rahmenbedingungen werden benötigt, um Informationssicherheit innerhalb aller Geschäftsprozesse erreichen zu können. Aktion: Der Auditor prüft die vorhandenen und als Referenzdokumente A.0 aufgelisteten Richtlinien auf Vollständigkeit. Insbesondere prüft der Auditor, ob sonstige Richtlinien und Konzepte in der Situation der Institution benötigt werden und fordert diese gegebenenfalls an. Votum: Sind alle benötigten Richtlinien vorhanden? 4.4.2 Verantwortung des Managements Ziel: Die oberste Managementebene ist verantwortlich für das zielgerichtete und ordnungsgemäße Funktionieren einer Organisation und damit auch für die Gewährleistung der Informationssicherheit nach innen und außen. Daher muss diese den Informationssicherheitsprozess initiieren, steuern und kontrollieren. Aktion: Der Auditor prüft, ob alle vorhandenen Richtlinien vom Management getragen und durch das Management veröffentlicht werden. Dies kann beispielsweise durch die Unterschrift des Managements unter den Richtlinien sichtbar sein. Votum: Werden die vorhandenen Richtlinien durch das Management verantwortet? 4.4.3 Nachvollziehbarkeit der Informationssicherheitsrichtlinien Ziel: Die Richtlinien müssen für die Situation der Institution geeignet und angemessen sein. In der Maßnahme „M 2.192 Erstellung einer IT-Sicherheitsleitlinie“ des Bausteins „B 1.0 IT- 26 Bundesamt für Sicherheit in der Informationstechnik
  27. 27. Prüfschema für ISO 27001-Audits Sicherheitsmanagement“ ist aufgezeigt, welche Punkte bei der Erstellung einer IT- Sicherheitsleitlinie beachtet werden müssen. Diese Punkte können entsprechend auch auf die Konzeption anderer Richtlinien übertragen werden. Aktion: Der Auditor bewertet die Sinnhaftigkeit der einzelnen Richtlinien und listet jeweils auf, inwiefern die Richtlinie plausibel und für die Institution geeignet ist. Votum: Sind die vorhandenen Richtlinien sinnvoll und für die Institution angemessen? Sind sie konsistent zueinander und zu anderen vorhandenen Dokumenten? 4.5 IT-Strukturanalyse 4.5.1 Nachvollziehbarkeit der Abgrenzung des Untersuchungsgegenstandes Ziel: Ein Untersuchungsgegenstand ist sinnvoll abgegrenzt, wenn er alle organisatorischen Maßnahmen, personellen Ressourcen sowie technischen und infrastrukturellen Komponenten umfasst, die zur Unterstützung einer oder mehrerer Fachaufgaben, Geschäftsprozesse oder Organisationseinheiten dienen. Der Untersuchungsgegenstand muss außerdem eine sinnvolle Mindestgröße im Gesamtkontext des Unternehmens bzw. der Behörde haben, d. h. er muss substantiell zum Funktionieren der Institution oder eines wesentlichen Teils der Institution beitragen. Aktion: Der Auditor begründet in kurzen Worten, warum der Untersuchungsgegenstand sinnvoll abgegrenzt ist. Anhaltspunkte, die gegen eine sinnvolle Abgrenzung des Untersuchungsgegenstands sprechen, werden dokumentiert. Votum: Ist der Untersuchungsgegenstand sinnvoll abgegrenzt? Hinweis: Dieser Prüfpunkt ist nicht mit der Abstimmung des IT-Verbundes durch die Zertifizierungsstelle gleichzusetzen. Der Auditor muss die Prüfung anhand der ihm vorliegenden Informationen selbst durchführen, da diese Informationen wesentlich umfangreicher sind als die der Zertifizierungsstelle zur Abstimmung eines IT-Verbunds vorliegenden. Falls die Abgrenzung des IT-Verbunds für eine Zertifizierung grundsätzlich ungeeignet ist, wird die Auditierung abgebrochen, ohne dass der Institution die Möglichkeit einer Nachbesserung eingeräumt wird. Falls weiterhin ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz angestrebt wird, ist eine neue Auditierung eines geeignet definierten IT- Verbundes zu initiieren. 4.5.2 Identifizierbarkeit der Komponenten im bereinigten Netzplan Ziel: Alle im bereinigten Netzplan dargestellten Komponenten müssen eindeutig identifiziert werden können, also mit einer eindeutigen Bezeichnung versehen sein. Aktion: Der Auditor prüft, ob alle dargestellten Komponenten mit einer Bezeichnung gekennzeichnet sind, und dokumentiert dies. Votum: Sind alle Komponenten im bereinigten Netzplan sinnvoll mit einer Bezeichnung gekennzeichnet? 4.5.3 Umfang der Liste der IT-Systeme Ziel: In der Liste der IT-Systeme muss jeweils eine eindeutige Bezeichnung des IT-Systems, eine Beschreibung (Typ und Funktion), die Plattform (z. B. Hardware- Architektur/Betriebssystem), Anzahl der zusammengefassten IT-Systeme (bei Gruppen), Bundesamt für Sicherheit in der Informationstechnik 27
  28. 28. Prüfschema für ISO 27001-Audits Aufstellungsort, Status des IT-Systems (in Betrieb, im Test, in Planung) und die Anwender/Administratoren des IT-Systems aufgeführt sein. Aktion: Der Auditor prüft, ob in der Liste der IT-Systeme alle benötigten Informationen aufgeführt sind und dokumentiert ggf. Abweichungen. Votum: Enthält die Liste der IT-Systeme alle benötigten Informationen? 4.5.4 Konformität der Liste der IT-Systeme mit dem Netzplan Ziel: Die in der Liste der IT-Systeme aufgeführten Systeme müssen mit denen im bereinigten Netzplan übereinstimmen. Aktion: Der Auditor vergleicht stichprobenartig die in der Liste der IT-Systeme aufgeführten Systeme mit denen im Netzplan und dokumentiert eventuelle Abweichungen. Votum: Stimmt die Liste der IT-Systeme mit denen im bereinigten Netzplan überein? 4.5.5 Umfang der Liste der IT-Anwendungen Ziel: In der Liste der IT-Anwendungen muss für jede Anwendung eine eindeutige Bezeichnung vergeben sein. Weiterhin muss ersichtlich sein, welche wesentlichen Geschäftsprozesse von der Ausführung der einzelnen IT-Anwendungen abhängen und welche IT-Systeme für die Ausführung der jeweiligen Anwendung benötigt werden. Aktion: Der Auditor prüft, ob in der Liste der IT-Anwendungen alle benötigten Informationen aufgeführt sind, und dokumentiert ggf. vorhandene Abweichungen. Votum: Enthält die Liste der IT-Anwendungen alle benötigten Informationen? 4.6 Schutzbedarfsfeststellung 4.6.1 Plausibilität der Definition der Schutzbedarfskategorien Ziel: Die drei Schutzbedarfskategorien „normal“, „hoch“ und „sehr hoch“ werden anhand von möglichen Schäden definiert. Insbesondere sollte die Höhe der genannten Schäden in der Reihenfolge „normal“, „hoch“, „sehr hoch“ ansteigen. Aktion: Der Auditor prüft, ob die Definition der Schutzbedarfskategorien plausibel ist, und dokumentiert ggf. Inkonsistenzen. Hinweis: Wenn mehr als drei Schutzbedarfskategorien definiert wurden, stellt der Auditor hier Überlegungen an, welche neu definierten Kategorien „hoch“ bzw. „sehr hoch“ entsprechen. Diese Information wird zur Überprüfung der Entscheidung benötigt, welche Objekte in die ergänzende Sicherheitsanalyse aufgenommen werden. Eine Definition von nur einer oder zwei Schutzbedarfskategorien ist nicht sinnvoll. Votum: Ist die Definition der Schutzbedarfskategorien plausibel? 4.6.2 Vollständigkeit der Schutzbedarfsfeststellung der IT-Anwendungen Ziel: Für jede in der Liste der IT-Anwendungen aufgeführte Anwendung muss der Schutzbedarf bzgl. Vertraulichkeit, Integrität und Verfügbarkeit dokumentiert und begründet sein. Dabei ist der Schutzbedarf der Informationen und Daten der Geschäftsprozesse, die die Anwendung unterstützen, mit einzubeziehen. 28 Bundesamt für Sicherheit in der Informationstechnik
  29. 29. Prüfschema für ISO 27001-Audits Aktion: Der Auditor prüft, ob der Schutzbedarf der in der Liste der IT-Anwendungen aufgeführten Anwendungen vollständig dokumentiert und begründet ist. Eventuell vorhandene Abweichungen werden im Auditbericht vermerkt. Votum: Ist der Schutzbedarf der IT-Anwendungen vollständig dokumentiert und begründet? 4.6.3 Vollständigkeit der Schutzbedarfsfeststellung der IT-Systeme Ziel: Für jedes in der Liste der IT-Systeme aufgeführte System muss der Schutzbedarf bezüglich Vertraulichkeit, Integrität und Verfügbarkeit dokumentiert und begründet sein. Aktion: Der Auditor prüft, ob für jedes in der Liste der IT-Systeme aufgeführte System der Schutzbedarf bezüglich Vertraulichkeit, Integrität und Verfügbarkeit dokumentiert und begründet ist. Eventuell vorhandene Abweichungen werden im Auditbericht vermerkt. Votum: Ist der Schutzbedarf der IT-Systeme vollständig dokumentiert und begründet? 4.6.4 Plausibilität der Schutzbedarfsfeststellung der IT- Systeme Ziel: Der Schutzbedarf für die IT-Systeme leitet sich aus dem Schutzbedarf der IT-Anwendungen ab (in der Liste der IT-Anwendungen ist vermerkt, von welchen IT-Systemen die Ausführung einer bestimmten IT-Anwendung abhängt). Dabei sind das Maximumprinzip, der Kumulationseffekt und der Verteilungseffekt zu berücksichtigen. Die Begründungen für den Schutzbedarf der einzelnen IT-Systeme müssen nachvollziehbar sein. Aktion: Der Auditor führt hierzu anhand der Liste der IT-Systeme, der Liste der IT-Anwendungen und dem Schutzbedarf dieser Komponenten eine Stichprobenprüfung durch. Der Auditor dokumentiert, welche IT-Anwendungen und IT-Systeme als Stichproben ausgewählt wurden. Für jede Stichprobe dokumentiert der Auditor, ob der Schutzbedarf korrekt abgeleitet wurde und ob die Begründung nachvollziehbar ist. Votum: Wurde der Schutzbedarf der IT-Systeme korrekt aus dem Schutzbedarf der IT-Anwendungen abgeleitet und sind die Begründungen nachvollziehbar? 4.6.5 Kritikalität der Kommunikationsverbindungen Ziel: Eine Verbindung kann kritisch sein, weil sie eine Außenverbindung darstellt (K1), weil sie hochvertrauliche (K2), hochintegere (K3) oder hochverfügbare (K4) Daten transportiert, oder weil über sie bestimmte hochschutzbedürftige Daten nicht transportiert werden dürfen (K5). Für jede kritische Kommunikationsverbindung muss vermerkt sein, aus welchem oder welchen dieser Gründe sie kritisch ist (K1-K5). Weiterhin muss sichergestellt sein, dass alle Verbindungen, die in oder über unkontrollierte Bereiche führen (z. B. ins Internet, über Funknetze oder über nicht behörden- oder firmeneigenes Gelände), als Außenverbindungen gekennzeichnet sind (K1) und somit kritisch sind. Aktion: Der Auditor prüft, ob für jede kritische Verbindung vermerkt ist, aus welchen Gründen (K1- K5) sie kritisch ist. Weiterhin prüft er anhand des bereinigten Netzplans, ob alle dort eingezeichneten Außenverbindungen als solche gekennzeichnet sind (K1). Evtl. vorhandene Abweichungen werden im Auditbericht dokumentiert. Votum: Ist für jede kritische Kommunikationsverbindung vermerkt, aus welchen Gründen (K1-K5) sie kritisch ist, und sind alle Außenverbindungen als kritisch gekennzeichnet (K1)? Bundesamt für Sicherheit in der Informationstechnik 29
  30. 30. Prüfschema für ISO 27001-Audits 4.6.6 Plausibilität der Schutzbedarfsfeststellung der Räume Ziel: Der Schutzbedarf der Räume leitet sich aus dem Schutzbedarf der darin betriebenen IT- Systeme bzw. der IT-Anwendungen ab, für die diese Räume genutzt werden. Dabei sind das Maximum-Prinzip, der Kumulationseffekt und der Verteilungseffekt zu berücksichtigen. Aktion: Der Auditor führt hierzu anhand des Schutzbedarfs der IT-Systeme eine Stichprobenprüfung durch. Für jede Stichprobe ist zu überprüfen, ob der Schutzbedarf des Raums korrekt aus dem Schutzbedarf der IT-Anwendungen und IT-Systeme abgeleitet wurde. Dokumentiert werden die ausgewählten Stichproben, die Ergebnisse der Einzelprüfungen und ggf. Abweichungen bzw. Widersprüche. Votum: Ist der Schutzbedarf der Räume korrekt aus dem Schutzbedarf der IT-Anwendungen und IT- Systeme abgeleitet? 4.7 Modellierung des IT-Verbunds 4.7.1 Nachvollziehbarkeit der Modellierung Ziel: Es muss sichergestellt sein, dass jeder Baustein der IT-Grundschutz-Kataloge auf alle Zielobjekte im IT-Verbund angewandt wird, für die er relevant ist. Insbesondere müssen durch die Modellierung daher alle IT-Systeme (siehe Liste der IT-Systeme) und alle Räume, in denen diese IT-Systeme betrieben werden, abgedeckt sein. In den IT-Grundschutz- Katalogen ist für jeden Baustein beschrieben, auf welche Zielobjekte er anzuwenden ist. Für einige Typen von IT-Systemen sind in den IT-Grundschutz-Katalogen derzeit keine eigenständigen Bausteine vorhanden, beispielsweise für Computer mit dem Betriebssystem OS/2. Falls der IT-Verbund solche IT-Systeme umfasst, sollten für die Modellierung ähnliche oder generische Bausteine herangezogen werden Aktion: Der Auditor prüft für jeden in den IT-Grundschutz-Katalogen enthaltenen Baustein, ob er in der vorliegenden Modellierung auf alle relevanten Zielobjekte im betrachteten IT-Verbund angewandt wurde. Maßgeblich hierfür sind die Vorgaben zur Modellierung in den IT- Grundschutz-Katalogen. Zielobjekte können dabei übergeordnete Aspekte, Gruppen und Einzelkomponenten sein. Insbesondere ist zu prüfen, ob • alle übergeordneten Aspekte (z. B. Personal) korrekt modelliert sind, • alle beteiligten Gebäude, Räume, Schutzschränke und die Verkabelung im Hinblick auf bautechnische Sicherheit berücksichtigt sind, • alle in der Liste der IT-Systeme enthaltenen IT-Systeme abgedeckt sind, • die netztechnischen Sicherheitsaspekte durch die entsprechenden Bausteine korrekt modelliert sind und • diejenigen IT-Anwendungen, für die eigenständige Bausteine existieren (z. B. Datenbanken), behandelt wurden. Dokumentiert wird für jeden Baustein, ob er auf alle relevanten Zielobjekte angewandt wurde und auf welche Zielobjekte er angewandt wurde. Wenn ein Baustein nicht (oder auf ein Objekt nicht) angewandt wurde, muss dafür eine nachvollziehbare Begründung im Auditbericht angegeben und vom Auditor auf Plausibilität geprüft werden (Beispiel: der Baustein B 2.10 Mobiler Arbeitsplatz wird nicht angewandt, obwohl sich Notebooks im IT- Verbund befinden). Der Auditor ermittelt anhand der Liste der IT-Systeme und der Modellierung, welche Komponenten nicht direkt durch Bausteine der IT-Grundschutz-Kataloge abgebildet werden können. Diese Komponenten (bzw. Gruppen) sowie deren Schutzbedarf werden im Auditbericht dokumentiert. Für jede dieser Komponenten prüft der Auditor, ob geeignete 30 Bundesamt für Sicherheit in der Informationstechnik
  31. 31. Prüfschema für ISO 27001-Audits generische oder ähnliche Bausteine der IT-Grundschutz-Kataloge zur Modellierung herangezogen und ob diese sinnvoll und korrekt eingesetzt wurden. Hinweis: Der Baustein B 1.5 Datenschutz ist nicht zertifizierungsrelevant. Votum: Wurde in der vorliegenden Modellierung jeder Baustein der IT-Grundschutz-Kataloge auf alle Zielobjekte angewandt, für die er relevant ist? Sind ähnliche oder generische Bausteine, die für Komponenten ersatzweise herangezogen wurden, korrekt angewandt? 4.7.2 Korrektheit der Gruppenbildung Ziel: Komponenten dürfen zu einer Gruppe zusammengefasst werden, falls sie vom gleichen Typ, gleich oder nahezu gleich konfiguriert bzw. gleich oder nahezu gleich in das Netz eingebunden sind, den gleichen administrativen, infrastrukturellen Rahmenbedingungen unterliegen und die gleichen Anwendungen bedienen. Soweit dies noch nicht vorher erfolgt ist (beispielsweise in der Liste der IT-Systeme), können im Rahmen der Modellierung weitere Komponenten zu Gruppen zusammengefasst werden. Aktion: Der Auditor wählt aus der Modellierung einige Gruppen als Stichproben aus und prüft jeweils, ob die Gruppenbildung zulässig ist. Dokumentiert werden die ausgewählten Stichproben, die Ergebnisse der Einzelprüfungen und ggf. Abweichungen oder Widersprüche. Votum: Sind die in der Modellierung verwendeten Gruppen korrekt gebildet? 4.8 Ergebnis des Basis-Sicherheitschecks 4.8.1 Konformität zur Modellierung Ziel: Die beim Basis-Sicherheitscheck verwendeten Bausteine der IT-Grundschutz-Kataloge müssen mit denen in der Modellierung übereinstimmen. Aktion: Der Auditor führt anhand der Modellierung eine vollständige Überprüfung durch. Etwaige Abweichungen werden dokumentiert. Votum: Stimmen die im Basis-Sicherheitscheck verwendeten Bausteine der IT-Grundschutz- Kataloge mit denen in der Modellierung des IT-Verbunds überein? 4.8.2 Transparenz der Interviewpartner Ziel: Für jeden Baustein im Basis-Sicherheitscheck muss erkennbar sein, welche Personen zur Ermittlung des Umsetzungsstatus befragt worden sind und wer die Befragung durchgeführt hat. Die befragten Personen sollten mit Name und Funktion gekennzeichnet sein. Hierzu kann die Funktionsbezeichnung in der Institution verwendet werden, wenn diese klar und nachvollziehbar ist. Eine Abbildung auf die in der IT-Grundschutz-Vorgehensweise definierten Rollen ist nicht zwingend erforderlich, kann jedoch hilfreich sein. Aktion: Der Auditor überprüft die Angaben zu den Interviewpartnern anhand des vorgelegten Basis- Sicherheitschecks und dokumentiert etwaige Abweichungen. Votum: Ist für jeden Baustein im Basis-Sicherheitscheck erkennbar, welche Personen zur Ermittlung des Umsetzungsstatus befragt worden sind und wer die Befragung durchgeführt hat? Bundesamt für Sicherheit in der Informationstechnik 31

×